La cyberseguridad de pymes, micropymes y autónomos: ¿un reto o una oportunidad?

Hace unos días, poniendo una denuncia en una comisaría de policía, coincidí con dos personas que habían sido víctimas de estafas a través de internet. Yo sabía yo que los ciberataques están proliferando, pero hasta que no conoces a una víctima no te das cuenta del daño real que representan. Los vectores o métodos de ataque más utilizados son el phishing y la infección de páginas web.

El phishing consiste en un email que simula de manera muy fidedigna venir de una entidad real que nos resulta muy familiar, como puede ser Correos, la Agencia tributaria, nuestro banco, etc. También puede ser un SMS (smishing) o un mensaje en redes sociales (Slinking) Es un vector de ataque que se suele utilizar para capturar nuestras credenciales, y también para descargar un malware o fichero malicioso ejecutable en nuestro equipo.

La infección de páginas web consiste en la infiltración de código malicioso en una página web conocida de uso legítimo, como un e-commerce, una página de una red social o de compartición de contenidos. Este vector de ataque se puede utilizar también para capturar nuestros datos personales y credenciales, robándolos de cualquier formulario que estemos rellenando en la página, y también para descargar, de manera invisible al usuario, malware en nuestro equipo.

Con el robo de credenciales y de datos personales se puede suplantar nuestra personalidad para crear cuentas bancarias, solicitar una tarjeta de crédito y gastar dinero con ella, y también para pedir un crédito que luego deberemos de devolver nosotros o cometer cualquier delito que luego nos será atribuido.

Con el malware se pueden hacer muchas cosas, desde hacernos ver la publicidad que quiera el atacante, hasta un ataque de ransomware. Pueden instalar un troyano que les de control total de nuestro equipo, y a partir de ahí pueden espiar toda nuestra actividad en el equipo, robar nuestros datos, o utilizar nuestra CPU para acuñar criptomonedas o para lanzar un ataque a otro usuario.

El método de defensa más popular son los antivirus, y los propios mecanismos de seguridad de las plataformas de correo electrónico y de acceso a la nube que utilizamos. Si el malware que se nos ha descargado o la web maligna a la que hemos sido dirigidos son ya conocidos por los sistemas de ciberdefensa, nuestro antivirus detectará y eliminará el malware, y el correo electrónico podría bloquear el acceso o advertirnos del peligro de acceder a la página maliciosa.

Sin embargo, los ciberatacantes están continuamente creando nuevas amenazas, nuevas formas de phishing, malware y páginas comprometidas, que no han sido identificadas todavía por los sistemas de ciberdefensa. Se las conoce como Zero Day. Estas no serán detectadas por los mismos, y podremos caer fácilmente víctima de ellas sin darnos cuenta.

Las grandes empresas, con considerables recursos humanos y presupuestos dedicados a la ciberseguridad constituyen el mayor objetivo de los ciberatacantes, pero también son las que están mejor preparadas para hacer frente a los mismos. Estas empresas implementan ciberseguridad en varias capas, y conjugan sistemas de detección de amenazas conocidas con tecnologías de inteligencia artificial que permiten identificar y mitigar también los Zero Day. Asimismo, ellas invierten regularmente en programas de concienciación y formación de sus empleados en materia de ciberseguridad, lo que constituye la primera capa de defensa.

El problema reside en la pequeña empresa y sobre todo en las microPYMES del orden de 10 empleados o menos y los autónomos. Tres de cada cuatro de estas empresas no disponen de ninguna solución de ciberseguridad, ni siquiera un antivirus, y nueve de cada diez, según un estudio de ENISA, no han actualizado sus medidas de seguridad frente a las nuevas amenazas.

Las consecuencias pueden ser calamitosas. Algunos datos:

  • INCIBE ha gestionado 118.820 incidentes de seguridad durante el año 2022.
  • Casi el 70% de las PYMES han experimentado ataques cibernéticos.
  • El coste medio de un ciberataque para una PYME española ha sido de 16.300 Euros
  • El 75% de las PYMES que han sufrido un ataque de Ransomware han tenido que cerrar.

Sin duda las PYMES, microPYMES y autónomos son los primeros interesados en protegerse. La dificultad estriba no tanto la inversión, ya que el coste de implantar algunas herramientas básicas y muy eficaces es bastante asequible, sino en el conocimiento.

Según la ONTSI para el 2024 se estima que en España existirán 42000 profesionales de la ciberseguridad, mientras que se necesitan 84000. Las grandes empresas tienen más capacidad para atraer a los profesionales disponibles lo que explica la situación de las PYMES.

Esto representa un gran reto para todos los profesionales del sector, pero al mismo tiempo también una gran oportunidad.

  • Para profesionales de otras áreas que se plantean complementar su formación con una especialización en ciberseguridad.
  • Para jóvenes que se están formando para incorporarse al mercado de trabajo y pueden optar por esta especialidad.
  • Para empresas fabricantes de soluciones de ciberseguridad, ya que se pueden diseñar nuevas soluciones o adaptar las existentes de manera que puedan ser desplegadas y operadas en modo automático sin la intervención de un especialista.
  • Para prestadores de servicios de telecomunicación y ciberseguridad, ya que pueden poner en marcha plataformas de servicios automatizados diseñados para que puedan ser suscritos y utilizados por las pymes y autónomo sin personal especializado
  • Para realizar una mayor divulgación y dar a conocer mejor los notables servicios y soluciones de estas características que ya existen.

En definitiva, estamos ante una gran necesidad y al mismo tiempo una gran oportunidad personal y de negocio: proporcionar ciberseguridad a nuestras PYMES, microPYMES y autónomos.

¿Te apuntas?

Juanjo Martinez Pagán, CISO Advisor y Fundador de ThousandGuards, Presidente del Grupo de Trabajo IT Digital de AUTELSI